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(54) Verfahren zur Verifizierung der Identitat einer Person 

(57) Vorgeschlagen wird Verfahren zur Verifizierung 
der Identitat einer Person, die eine Tastatur bed lent, 
welche mit einer elektronischen Datenverarbeitungsan- 
lage, Signalverarbeitungsaniage oder SmartCard ver- . 
bunden ist, in. -weiehs-ein -Referenzrnusier eingeyeben 
wird, das mit einem einzugebenden Verifikationsmuster 
verglichen wird, wobei als Referenzmuster ein Signal 
begrenzten Umfangs eingegeben wird, das auf einer 
Sequenz von Tastendrucken mit bestimmten Starken 
und/oder durch eine Sequenz mit Tastendrucken nach 
einem bestimmten Rhythmus und/oder einer/mehrerer 
Qberlappungen von Tastendrucken besteht. 
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Beschreibung 

[0001] Ein unbefugter Zugriff auf Daten, die in 
einem Rechner abgelegt sind, die unerlaubte Benut- 
zung von Computerprogrammen, eine unsichere Oder 
fehlende Identitatsprufung beim Zugang zu Online Ser- 
vices Oder bei Interactive TV, die miftbrauchliche Ver- 
wendung von magnetstreifen- bzw. chipbehafteten 
Bankkarten sowie das Fehlen einer nachweisbaren 
Zuordnung eines am Computer erstellten Datenobjek- 
tes zum Ersteller konnen zu groften wirtschaftlichen 
und geseilschaftlichen Schaden fuhren. Dasseibe gilt 
fur den Zutritt zu geschutzten Bereichen in Gebauden. 
Der Nachweis, daft eine Person diejenige ist, die sie zu 
sein vorgibt (die sog. Verifikation der Identitat), ist des- 
halb sehr wichtig. 

[0002] Die Verifikation der Identitat geschieht in den 
weitaus meisten Fallen dadurch, daft der Benutzer ein 
vereinbartes Codewort (Paftwort, persdnliche Identifi- 
kationsnummer, Benutzernummer etc.) angeben muft. 
Dieses Codewort wird von mir im folgenden stets Pali- 
wort genannt. Der damit erzielbare Schutz steht und 
fallt mit der Geheimhaltung bzw. Nicht-Erratbarkeit des 
Paftwortes. 

[0003] Damit ein Paftwort nicht leicht erraten wer- 
den kann, muft es einigermaften kompliziert sein und 
haufig gewechselt werden. Dies stofttjedoch auf Wider- 
willen beim Benutzer, denn er sollte es auswendig wis- 
sen, was bei einem komplizierteren Paftwort (es darf 
z.B. in keinem Worterbuch vorkommen) schwierig ist. 
Falls er es aufgezeichnet hat, muft er diese Aufzeich- 
nung einerseits fur sich schnetl zuganglich und anderer- 
seits fur jede andere Person unzugSngiich 
aufbewahren. Dies ist ein kaum losbares Problem. Hier 
mangelt es am Arbeitsplatz oft an der ndtjgen Sorgfalt. 
Die praktische Erfahrung zeigt, dad sich eine hundert- 
prozentige Geheimhaltung des Paftwortes nicht durch- 
setzen laftt. Dies gilt ebenso im privaten Bereich. 
[0004] Das Paftwort wirkt darQber hinaus hoch- 
stens wahrend des Zeitraums seiner Eingabe verifizie- 
rend. Anschlieftend kann der Benutzer wechseln, ohne 
daft dies vom Computersystem bemerkt wird. Es ist 
auch moglich, den Benutzer zu einer unfreiwilligen Frei- 
gabe des Paftwortes zu bewegen. 
[0005] Insgesamt geniigt der Paftwortschutz 
wegen seiner mangelnden Praktikabilitat, wegen der 
ungenugenden Geheimhaltung und wegen der nur auf 
einen Zeitpunkt bezogenen OberprOfung den steigen- 
den Sicherheitsbedurfnissen nur unzureichend. 
[0006] Modernere Verifikationssysteme arbeiten 
mit biometrischen Merkmalen, z.B. dem Fingerabdruck, 
dem Augenhintergrund, der Stimme, dem Gesicht, der 
Sprechmimik etc. Sie besitzen aber ebenfalls spezifi- 
sche Nachteile. So benotigen sie spezielle Hardware, 
saubere Finger, geringe Hintergrundgerausche, ausrei- 
chende Lichtverhaltnisse etc., so daft sie derzeit nur in 
speziellen Situationen zu Anwendung kommen. 
[0007] Dasseibe gilt fOr Verfahren, welche die 



Unterschrift einer Person verwenden. Schreibdynamik 
und Druck werden analysiert und zu einem digitalen 
Signal verarbeitet (sh. Patentschrift DE 197 01 685 A1). 
Die Idee besteht darin, Mermale der Schreibdynamik zu 
5 verwenden, welche die Schrift einer Person uber einen 
langen Zeitraum hinweg aufweist und meist dieser Per- 
son unbewuftt ist. 

[0008] Eine interessante Alternative bietet in Analo- 
gie zum Schreibverhalten das Tippverhalten auf einer 
10 Tastatur. 

[0009] Die Art, wie ein Mensch eine Tastatur (Com- 
putertastatur oder Ziffernblock) bedient (Schreibdyna- 
mik, Druck, Auswahl der Tasten, Schreibrhythmus, 
Schreibgewohnheiten,...), hat nicht dem Willen unterlie- 

15. gende Auspragungen. Ausfuhrliche Untersuchungen an 
der Technischen Universitat Munchen und an der Uni- 
. versitat Regensburg haben gezeigt, daft die Art des Tip- 
pens sehr personentypisch ist. In ihrer Ganzheit bilden 
die einzelnen Eigenheiten des Tippens ein fur die Per- 

20 son charakteristisches biometrisches Merkmal "Tipp- 
verhalten". Es kann mit Hilfe komplizierter 
mathematischer Verfahren hinreichend exakt aus den 
elementaren Meftdaten DrOcken und Loslassen einer 
Taste berechnet werden. 

25 [0010] Die Idee, die Schreibdynamik einer Person 
auf einer Tastatur als biometrisches Merkmal zu ver- 
wenden, ist in US 4,805,222 offenbart. Eine Verbesse- 
rung wurde mit der Idee erzielt, neben der 
Schreibdynamik auch dynamikunabhangige Merkmale 

30 heranzuziehen (sh. Patentschrift 196 31 484.4). 

[001 1]_ Das biometrische Verfahren Tippverhalten 
funktioniert urn so besser, je umfangreicher die Tipp- 
probe ist, die der Benutzer abgibt. Dies lauft jedoch der 
Bequemlichkeit des Benutzers zuwider. In zahlretchen 

35 Situationen, so z.B. bei Zutrittskontrollsystemen an 
TOren, die taglich von vielen Personen durchschritten 
werden, oder bei Geldausgabeautomaten, ist ein Ver- 
fahren nur dann praktikabel, wenn die Verifikation sehr 
schnell geht. 

40 [0012] Der Erfindung liegt daher die Aufgabe 
zugrunde, ein Verfahren zur Verifizierung der Identitat 
einer Person zu schaffen, das bei einem hohen Grad an 
Verifikationssicherheit sehr einfach in der Anwendung 
und auf den gangigen technischen Ausrustungen uni- 

45 versell einsetzbar ist. 

[0013] Diese Aufgabe wird mit den Merkmalen im 
Anspruch 1 bzw. mit den Merkmalen im Anspruch 4 
bzw. mit den Merkmalen im Anspruch 6 bzw. mit den 
Merkmalen in Anspruch 9 geldst. 

so [0014] Als Druckfuhler kann ein sog. Sensorchipz 
verwendet werden, der den elektronischen Fingerprint 
abnimmt. Ist dieser Sensor auch druckempfindlich aus- 
gelegt, so kann er ebenfalls als Taste betrachtet wer- 
den. 

55 [0015] Das als Referenzmuster dienende Signal 
kann also sein 

eine Sequenz von Tastendrucken mit bestimmten 
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Starken: das Signal besteht in der Abfolge von Ein- 
zeldrucken in ihrer jeweiligen charakteristischen 
Intensity (Druckmuster) 

eine Sequenz von Drucken nach einem bestimmten 
Rhythmus: das Signal besteht im Rhythmus 5 
eine Oberlappung von Tastendrucken, d.h. eine 
zweite Taste wird gedruckt, noch ehe die erste 
Taste losgelassen wurde. Auch Qberlappungen 
uber mehrere Tastenanschlage hinweg sind m6g- 
lich. Als Spezialfall ist auch ein gleichzeitiges Druk- 10 
ken mehrerer Tasten enthalten. 
eine Kombination einiger oder aller dieser Signale. 
Als Kombination der ersten beiden Signalarten soli 
auch der genauere Druckverlauf als Funktion der 
Zeit gelten. 15 

[0016] So konnte man als Signal z.B. den Anfang 
eines Liedes oder einige Morsezeichen auf den Tasten 
bzw. der Taste tippen. Auch ist es moglich, den her- 
kommlichen Paftwortschutz zu verbessern, indem man 20 
dem Paliwort ein Signal uberlagert. Es kommt dann 
nicht nur darauf an, das richtige Paftwort einzugeben, 
sondern auch das richtige Signal, d.h. das Pafiwort in 
der richtigen, bewufit gewahlten Weise zu tippen, z.B. 
nach einem bestimmten Rhythmus. Der Vorteil besteht 25 
darin, dafc an die Kompliziertheit und an die Geheimhal- 
tung des Paftworts keine so groften Anforderungen zu 
stellen sind. 

[0017] So wie man bei der Verwendung des Paft- 
worts vom Paftwortschutz spricht, bezeichne ich die 30 
Losungsidee als Signalschutz. 

[00181 Mit dem Tippverhalten alleine ist die 
gestellte Aufgabe bei einigen Anwendungsszenarien 
kaum in der fur den praktischen Einsatz geforderten 
Qualitat zu losen. 35 
[0019] Man teilt bei Verifikationsaufgaben die ver- 
wendeten Merkmale in die drei Klassen ein 

- Wissensmerkmale (z.B. Paliwort) 

- Habenmerkmale (z.B. Schlussel, Chipkarte, Aus- 40 
weis) 

Seinsmerkmale (z.B. Fingerprint, Retina). 



Taste. Der eingegebene Text bei der Verifikationsproze- 
dur muR deshaib nicht identisch mit dem Text in der 
Enrollmentprozedur sein. 

[0023] Beim Signalschutz kommt es darauf an, das 
beim Enrollment eingetragene Signal moglichst genau 
wiederzugeben. 

[0024] Beim Tippverhalten geschieht der Vergleich 
i.a. nicht direkt anhand der Strings sondern indirekt auf 
der Ebene der abgeleiteten Templates. 
[0025] Bei der obigen Losungsidee wird das Signal 
direkt mit dem autorisierten Referenzsignal, das in der 
Enrollmentprozedur erhoben wurde, verglichen. 
[0026] Das Tippverhalten charakterisiert die Art, 
wie ein Text auf einer Tastatur getippt wird. Urn das 
Tippverhalten zu messen, ist eine alphanumerische 
Tastatur notwendig (siehe Anspruch 1 in Patentschrift 
Young et al.). 

[0027] Zur Erzeugung des Signals hingegen genugt 
bereits eine einzige Taste. 

[0028] Anders als das Pafiwort, welches alphanu- 
merisch und deshaib als Wissensmerkmal eindeutig ist, 
hat das Signal i.d.R. einen analogen Charakter. 
[0029] Das Wissensmerkmal des Pafiworts besteht 
in der richtigen Folge von alphanumerischen Zeichen. 
[0030] Das Wissensmerkmal des Signals besteht in 
Druck und/oder Rhythmus und/oder bei Qberlappungen 
in der richtigen Folge der Ereignisse "Taste drucken" 
und "Taste loslassen". 

[0031] Das Pafcwort kann durch das unberechtigte 
Beobachten der Eingabe leicht ausgespaht werden. 
[0032] Das Signal kann bei Einbeziehung des 
Druckes optisch nicht vollstandig erfafit werden. Auch 
ohne Einbeziehung des Druckes ist das AusspShen viel 
schwieriger. 

[0033] Der Paftwortschutz verlangt mehrere 
Tasten. Der Signalschutz kommt auch mit einer einzi- 
gen Taste aus. 

[0034] Das Signal kann dem Pafcwort als orthogo- 
nales Merkmal Oberiagert werden. 
[0035] Das Verfahren kann uberall dort eingesetzt 
werden, wo eine Tastatur vorhanden ist bzw. sinnvoll 
erscheint. Als Tastaturen kommen infrage 
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[0020] Das Signal ist ein Wissensmerkmal. 
[0021] Das Tippverhalten ist als Art, wie ein Indivi- 45 
duum einen Text tippt, ein Seinsmerkmal wie ein Finger- 
abdruck (vgl. Patentschrift Nr. 4,805,222, Spalte 2, Zeile 
7-10). Es bezieht sich nicht auf ein ausgewahltes Wort 
sondern ist unabhSngig vom konkreten Text generell 
definiert. Die bestimmenden Grbften sind die Fingerfer- so 
tigkeit beim Tippen, der Geubtheitsgrad beim Umgang 
mit der Tastatur sowie die augenblickliche psychische 
und physische Verfassung der Person (z.B. Stress, 
Qbermudung). Im Gegensatz dazu ist das Signal ein 
bewufit gewahltes Wissensmerkmal. 55 
[0022] Das Template, welches die Eigenheiten des 
Tippverhaltens reprasentiert, besteht aus statistischen 
Kenngrofien, z.B. der mittleren Anschlagsdauer einer 



Computertastatur: Anwendungsgebiete sind Zugriff 
auf Rechnerressourcen (Login in Rechnernetzen, 
Zugriff zu Betriebssystemen) sowie zu Software- 
Applikationen (geschutzte Programme und Daten) 
Stationar montierter Ziffernblock: Anwendungsge- 
biete sind Zugangssicherungssysteme (Zugang zu 
Raumen, zu Tresoren) sowie Zugriffssicherungssy- 
steme (bei Ladenkassen, Teiefonen, Geldausgabe- 
automaten, SB-Terminals) 
Mobiler Ziffernblock: Anwendungsgebiet ist die 
Zugriffssicherung (zum Handy, zur TV-Fernbedie- 
nung). 

einzelne Taste, evtl. als Drucksensor, evtl. in Ver- 
bindung mit einem Fingerprint-Sensor: Anwen- 
dungsgebiete wie oben, zusStzlich: Deaktivierung 
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der Wegfahrsperre im KFZ, Aktivierung sicherheits- 
relevanter Funktionen im Chip auf der SmartCard 
(Drucksensor a!s druckempfindliche Zone auf der 
Karte). 

[0036] Eine spezielle Anwendungsform auf diesen 
Endgeraten ist das Electronic Banking und das SB-Ban- 
king. Das Verfahren ladt sich hier universell auf alien 
elektronischen Vertriebskanalen der Bank vom Internet 
Banking bis hin zum Handy Banking einsetzen. 

Folgende Vorteile sind zu erwarten: 

[0037] Der Kunde mud sich nicht an verschiedene 
Verfahren gewOhnen. 

[0038] Das Verfahren kann an das jeweils gefor- 
derte Sicherheitsniveau angepaftt werden, ohne dafc 
der Benutzer dadurch zusatzlich belSstigt wird. Der 
dabei verwendete Parameter ist der Grad der Exaktheit, 
mit der das Signal eingegeben wird. 
[0039] Das Verfahren setzt als Softwarelosung auf 
der gegenwartig verbreiteten IT-lnfrastruktur auf und 
kann sich deshalb rasch verbreiten. 
[0040] Jedes biometrische Verfahren hat spezifi- 
sche Vorteile und auch Nachteile. Letztere kann man 
durch die Kombination mit einem zweiten Verfahren 
kompensieren. Das vorgestellte Verfahren ist hierzu ein 
idealer Partner, da keine zusatzliche Hardware notwen- 
dig ist. 

[0041] Zur technischen Realisierung ist eine Tasta- 
tur notwendig, die eine Verbindung zu einer elektroni- 
schen Datenverarbeitungsanlage aufwsis*. Diese kann 
ein Computer, aber auch ein Prozessorchip auf einer 
SmartCard oder ein Analogrechner sein. Auf der Tasta- 
tur wird das Signal eingegeben. Die Signalauswertung 
geschieht in der Datenverarbeitungsanlage. 

Enrollment: 

[0042] Der Benutzer gibt ein von ihm frei gewahltes 
Signal als Referenzsignal ein. Dies kann auch mehr- 
mals hintereinander geschehen. Je nachdem erhalt 
man ein oder mehrere Referenzsignale, die evtl. noch 
weiter aufbereitet werden konnen. Das Referenzsi- 
gnal/die Referenzsignale wird/werden in einem nicht 
jedermann zuganglichen Datenspeicher abgelegt. Die- 
ser Datenspeicher kann auch ein geschutzter Bereich 
im Prozessor der Chipkarte sein. 

Verifikation: 

[0043] Der Benutzer gibt auf der Tastatur das ver- 
einbarte Signal ein. Es wird auf einer elektronischen 
Daten-/Signalverarbeitungsanlage (oder auf der Smart- 
Card) mit dem Referenzsignal verglichen. Die Verifika- 
tion der Identitat des Benutzers geschieht in 
AbhSngigkeit vom Ergebnis dieses Vergleichs. 



Identifikation: 

[0044] In geschlossenen Benutzergruppen laftt sich 
das Verfahren auch zur Identifikation eines Mitglieds der 

5 Gruppe heranziehen. Der Benutzer gibt sein Signal ein. 
Es wird mit alien Referenzsignalen der Gruppenmitglie- 
der verglichen. Die Identifikation geschieht in Abhangig- 
keit von der VergleichsprOfung. Liefert diese Prufung fOr 
genau eine Person eine hinreichend grolie Ahnlichkeit 

w von Signal und Referenzsignal, so wird der Benutzer als 
der diesem Referenzsignal zugehorige Person identifi- 
ziert. 

Patentanspriiche 

15 

1. Verfahren zur Verifizierung der Identitat einer Per- 
son, die eine Tastatur bedient, welche mit einer 
elektronischen Datenverarbeitungsanlage, Signal- 
verarbeitungsanlage oder SmartCard verbunden 

20 ist, in welche ein Referenzmuster eingegeben wird, 
das mit einem einzugebenden Verifikationsmuster 
verglichen wird, wobei als Referenzmuster ein 
Signal begrenzten Umfangs eingegeben wird, das 
auf einer Sequenz von Tastendrucken mit bestimm- 

25 ten Starken und/oder durch eine Sequenz mit 
Tastendrucken nach einem bestimmten Rhythmus 
und/oder einer/mehrerer Qberiappungen von 
Tastendrucken besteht. 

30 2. Verfahren nach Anpruch 1, wobei das Signal bei 
der Auswahl der Tasten ganz oder teilweise eine 
vorgegebene Reihenfolge einhalt. 

3. Verfahren nach Anspruch 1 oder 2, wobei statisti- 
cs sche Mefigrofien, welche die Variation der Signale 

bei dfterem Eingeben beschreiben, zur Verifizie- 
rung herangezogen werden. 

4. Verfahren zur Verifizierung der Identitat einer Per- 
40 son, die eine einzige Taste bedient, welche mit 

einer elektronischen Datenverarbeitungsanlage, 
Signalverarbeitungsanlage oder SmartCard ver- 
bunden ist, in welche ein Referenzmuster eingege- 
ben wird, das mit einem einzugebenden 
45 Verifikationsmuster verglichen wird, wobei als Refe- 
renzmuster ein Signal begrenzten Umfangs einge- 
geben wird, das durch eine Sequenz mit 
Tastendrucken mit bestimmten Starken und/oder 
nach einem bestimmten Rhythmus gebildet wird. 

50 

5. Verfahren nach Anspruch 4, wobei statistische 
Mefigrfifien, welche die Variationen der Signale bei 
dfterem Eingeben beschreiben, zur Verifizierung 
herangezogen werden. 

55 

6. Verfahren zur Verifizierung der Identitat einer Per- 
son, die eine Anordnung von Drucksensoren 
bedient, welche mit einer elektronischen Datenver- 
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arbeitungsanlage, Signalverarbeitungsanlage Oder 
SmartCard verbunden ist, in welche ein Referenz- 
muster eingegeben wird, das mit einem einzuge- 
benden Verifikationsmuster verglichen wird, wobei 
als Referenzmuster ein Signal begrenzten 5 
Umfangs eingegeben wird, das auf einer Sequenz 
von Drucken der Drucksensoren mit bestimmten 
Starken und/oder durch eine Sequenz von Drucken 
der Drucksensoren nach einem bestimmten Rhyth- 
mus und/oder einer/mehrerer Oberlappungen von 10 
Drucken der Drucksensoren besteht. 



7. Verfahren nach Anpruch 6, wobei das Signal bei 
der Auswahl der Drucksensoren ganz Oder teil- 
weise eine vorgegebene Reihenfblge einhalt. 15 

8. Verfahren nach Anspruch 6 Oder 7, wobei statisti- 
sche Mefigroften, welche die Variation der Signale 
bei ofterem Eingeben beschreiben, zur Verifizie- 
rung herangezogen werden. 20 



9. Verfahren zur Verifizierung der Identitat einer Per- 
son, die einen einzigen Drucksensor bedient, wei- 
cher mit einer elektronischen 
Datenverarbeitungsanlage, Signalverarbeitungsan- 25 
lage oder SmartCard verbunden ist, in welche ein 
Referenzmuster eingegeben wird, das mit einem 
einzugebenden Verifikationsmuster verglichen 
wird, wobei als Referenzmuster ein Signal begrenz- 
ten Umfangs eingegeben wird, das durch eine 30 
Sequenz von Drucken des Drucksensors mit 
bestimmten Starken nach einem bestimmten 
Rhythmus besieht. 

10. Verfahren nach Anspruch 9, wobei statistische 35 
Mefigrofien, welche die Variation der Signale bei 
ofterem Eingeben beschreiben, zur Verifizierung 
herangezogen werden. 
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